Distributed Guessing新型攻击方式可在六秒内黑掉VISA信用卡(含PoC视频)
作者:admin | 时间:2016-12-14 00:46:46 | 分类:黑客技术 隐藏侧边栏展开侧边栏
近期,来自英国纽卡斯特尔大学的安全研究专家发现了一种名叫DistributedGuessing(分布式猜解)的攻击方法,这种新型的攻击方法可以在六秒钟之内黑掉VISA信用卡。
根据安全研究专家的描述,在此之前,这项名叫DistributedGuessing(分布式猜解)的技术是在线支付网站用来发现和获取VISA信用卡数据的。但是在这项技术的帮助下,攻击者可以向在线支付网站提交数据,并通过对网站所返回的交易信息进行分析来判断他们所提交的数据是否为有效数据。
目前,英国纽卡斯特尔大学的安全研究专家们已经将相关的研究报告发表在了学术期刊(IEEE安全与隐私)上,他们在研究报告中写到:
“虽然目前很多在线支付服务都部署了大量的安全措施来防止欺诈和网络攻击等恶意行为,但是这个名叫DistributedGuessing(分布式猜解)的攻击方法却可以绕过所有的这些安全保护功能。攻击者可以通过自动化工具生成大量不同的信用卡安全数据,并将这些数据发送到多家提供了在线支付服务的网站。这样一来,攻击者在几秒钟之内就可以找出可用的有效数据,并验证那些他们在信用卡欺诈活动中所需要的信用卡安全数据。”
Distributed Guessing攻击的PoC演示视频如下:
视频地址:https://youtu.be/uwvjZGKwKvY
安全研究专家怀疑,攻击者很可能在近期针对Tesco(特易购)银行的网络攻击活动中使用过这项技术了,并成功窃取了250万英镑。
安全研究人员在进行了测试和分析之后表示,攻击者很有可能通过这种DistributedGuessing攻击来暴力猜解出任何一张VISA信用卡或借记卡的卡号、过期日期和安全码,而且这种攻击方法既简单又高效。
英国纽卡斯特尔大学计算机科学学院的博士生Mohammed Ali在报告中解释到:
“这种攻击利用了在线支付系统中的两个设计缺陷,这两个漏洞本身并没有多严重,但是如果攻击者能够在攻击过程中同时利用这两个漏洞的话,将会对整个支付系统产生巨大的威胁。
首先,目前很多的在线支付系统并不会对不同网站所发送过来的无效的支付请求进行审查。这样一来,攻击者就可以不受限制地进行无数次暴力猜解,最终获取到他们想要的VISA卡数据。据了解,攻击者平均可以在每个网站上进行10-20次的暴力猜解攻击。
其次,不同的网站在验证在线支付请求的时候,他们要求用户提供的银行卡数据也会有区别。这也就意味着,攻击者只需要在多个网站分别执行这种攻击,就可以像拼拼图一样收集到目标VISA银行卡的所有数据。由于网站没有对猜解次数进行限制,所以攻击者每进行一次攻击,就可以获取到支付卡的其中一项数据,并且最终获取到目标银行卡的全部数据,这也导致网站的安全技术人员无法监测到这种欺诈性的攻击活动。”
信用卡安全现状并不尽如人意
安全研究专家们对Alexa.com上访问量排名前400的398个网站进行了研究,研究结果表明,只有47家网站使用了3D安全授权系统,而这种安全保护机制可以有效地抵御DistributedGuessing攻击。其中还有26家网站在验证支付请求的时候,只需要用户提供银行卡号和卡片到期日。而且在这26个网站中,有20家网站允许我们进行至少六次猜测,而对于这种如此容易猜到的数据来说,机会绝对是足够了的。
总共有291家网站只根据卡片到期日和CVV(信用卡验证码)来验证信用卡的卡号,而其中的238家网站允许我们进行六次以上的猜解,所以获取目标信用卡的CVV也就不算难事了。
英国纽卡斯尔大学的研究人员在其研究报告中介绍到:
“猜解信用卡的有效期其实并不难,一般的VISA信用卡有效期最多只有5年,而此时的猜解次数就是5*12,即总共60次;而三位数的CVV码猜解次数则是1000次。此时,攻击者可以通过把不同的猜解请求以“分布式”的方法发送到各个提供了信用卡支付功能的网站上,这样就可以很快地得到目标卡片正确的有效期和CVV验证码了。”
该问题是否引起了业界关注?
为了了解这些网站对这个安全问题的关心程度,研究人员根据网站在验证信用卡号时所需要的信息数量来将这些网站分成了三大类,并且与每一大类中人气最旺的十二家网站分别进行了联系。
在这36家网站中,有28家网站在四周内给予了回复,其中有8家网站部署了额外的安全措施来降低用户信息泄漏的风险,这些措施包括限制每个IP或卡号输错的次数、添加图片验证、以及需要输入额外的验证信息等等。
研究人员还强调,目前只有VISA网络存在这种问题,因此现在只有VISA客户会受到DistributedGuessing攻击的影响。MasterCard网络是一种中心化的网络,它可以检测到DistributedGuessing攻击。即使所有的支付请求都是从不同的网络平台发送过来的,MasterCard网络仍然会将尝试次数记录在中心系统中,并可以在十次错误尝试之后阻止攻击者继续发送猜解请求。
* 参考来源:securityaffairs、networkworld,FB小编Alpha_h4ck编译